9.2.2. Формализация описания архитектуры исследуемой ас

Согласно требованиям РД Гостехкомиссии, начиная с третьего класса защищенности разрабатываемые С ВТ должны иметь формальную модель механизма управления доступом. Наличие аналогичного требования для АС в целом в существующих нормативных документах авторам неизвестно. Вместе с тем в соответствии с международными стандартами (в первую очередь 17799) такая модель должна разрабатываться.

После неформального описания АС и правил политики безопасности производится формализация этого описания и правил ПБ в терминах формальной модели безопасности, приведенной в гл. II.

Выявляются объекты и субъекты вычислительной сети, а также основные операции, применимые к ним. Применение формальной модели позволяет обосновать практическую пригодность системы безопасности, определяя ее базовую архитектуру и используемые технологические решения при ее построении. В терминах формальной модели задаются достаточные и необходимые усло­вия выполнения политики безопасности. В итоге формируются множества {A}, {S}, {О}, {Operate}: всех субъектов, объектов, воз­можных операций и «ответственных» за них администраторов. На данном этапе проектировщик оперирует требованиями к безопасной реализации субъекта, объекта и отдельной операции; их совокупность позволяет сформулировать требования ко всей системе защиты.

На этапе подтверждения соответствия АС требованиям, безопасности информации (проведения ее аттестации) испытательной лаборатории необходимо проанализировать модель СЗИ, стойкость предлагаемых разработчиком протоколов, а также соответствие модели реально разработанной СЗИ.

9.2.3. Формулирование требований к системе защиты информации

Политика безопасности интерпретируется для реальной АС и реализуется используемыми средствами и механизмами информационной безопасности и их соответствующей настройкой. Основываясь на результатах предыдущего этапа, производится распределение функций обеспечения информационной безопасности между субъектами и администраторами ресурсов системы. На данном этапе целесообразна декомпозиция множеств {S}, {О}, {Operate} по подсистемам: {S} = {SI} и {S2} n...n {Sn}, {О} = {01} и {02} n...n {On}, {Operate} = {Operate 1} kj...kj {Operaten}. В итоге каждую подсистему системы защиты характеризует следующий сог став: {Si} u {Oi} u {Operatei}. Формулируется совокупность требований ко всей подсистеме на основе сочетания требований к множествам {Si}, {Oi} и {Operatei}, составляющим данную подсистему. Среди подсистем можно выделить специализированные механизмы обеспечения информационной безопасности: администратор сети, администратор системы, администратор управления, разграничения доступом и т. п.

Требования, как правило, целесообразно предъявлять в виде: «такой-то показатель качества должен быть не меньше (не больше) допустимого при определенных ограничениях». В качестве ограничений выступают обычно защищенность, стоимость, реализуемость, потребное количество памяти и вычислительного ресурса.

Показатель качества целесообразно ввести следующим образом. Пусть злоумышленник генерирует п угроз, каждая из которой характеризуется вероятностью появления и появляющимся при ее реализации ущербом У_i, в совокупности образующими риск от угрозы. Пусть средства защиты информации {х_ь х₂,..., х_т} образуют вектор из т элементов х; их стоимость образует вектор той же размерности С. В результате применения его средства защиты информации риск уменьшается на некоторую величину Δj. Тогда задача синтеза оптимальной системы защиты информации может быть сформулирована в виде

(9.1)

При условии независимости угроз и их аддитивности, а также с учетом вероятностного характера устранения угроз со стороны СЗИ получаем следующее выражение для общего предотвращенного ущерба:

(9.2)

где q_i — нанесенный j-й угрозой ушерб.

Рассмотрим входящие в выражение (9.2) величины. Вероятность появления угрозы определяется статистически или на основе экспертного опроса. Ущерб, наносимый угрозой, может выражаться в денежном эквиваленте, а также в объеме уничтоженной (раскрытой) информации и т. п.

Наиболее сложным вопросом является определение вероятности устранения i-й угрозы при проектировании j-го СЗИ. Сделаем естественное допущение, что эта вероятность определяется тем насколько полно учтены качественные и количественные требования к СЗИ при их проектировании, т.е.

(9.3)

где x_fk— степень выполнения k-го требования j-му СЗИ. Tpeбования могут быть количественные и качественные. Для количественных требований можно ввести меру, показывающую близость требований к заданным, например среднеквадратическое отклонение. Для качественных требований эта мера может быть логической: «выполнено» —«не выполнено» либо иметь определенные градации, например «отлично», «хорошо», «удовлетворительно», «неудовлетворительно».

Можно ввести понятие относительного показателя защищенности — количественной характеристики, которой могут обладать средства защиты, систем и подсистемы безопасности. Значение этого показателя может лежать в пределах [0,1], (уровень безопасности на практике не может достигать 100 %).

В работе [49] приведены также дополнительные требования к системе защиты информации:

требования к корректности реализации механизмов защиты определяют основополагающие принципы реализации каждого механизма защиты, выполнение которых является необходимым для разработчика средств защиты, так как это обеспечивает корректность реализации механизмов защиты;

требования к комплексированию механизмов защиты — определяют принципы комплексирования корректно исполненных механизмов в единую систему защиты, выполнение которых обеспечивает достаточность набора механизмов зашиты для условий применения системы;

требования по обеспечению необходимого уровня доверия потребителя системы зашиты к ее разработчику — определяют условия, выполнением которых разработчик обеспечит необходимый уровень доверия к нему, а как следствие, и к поставляемой им системе потребителя.

Первое и третье из этих требований связаны с технологическим процессом разработки СЗИ и удовлетворяются за счет выполнения разработчиком лицензионных требований ФСТЭК России, а также проверяются на этапе сертификации.

Требования по комплексированию формулируют условия применения системы защиты. Целесообразность учета подобных требований заключается в том, что условия практического использования систем защиты могут существенно различаться. Система защиты информации, реализующая всю совокупность механизмов защиты, обеспечивающая все возможные условия ее использования, в большинстве случаев может оказаться нерациональной.

Таким образом, данной группой требований решается задача формирования в каждом конкретном случае использования системы защиты необходимого набора механизмов защиты, после чего необходимо приступить к выбору СЗИ, реализующих данные механизмы.